Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.
Las seis características fundamentales que debe respetar una política de seguridad son:
Disponibilidad
Es necesario garantizar que los recursos del sistema se encuentren disponibles cuando el usuario necesite de ellos.
Utilidad
Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función.
Integridad
La información del sistema ha de estar disponible tal y como se almaceno por una persona autorizada
Autenticidad
El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.
Confidencialidad
La información solo ha de estar disponible para agentes autorizados, especialmente su propietario
Posesión
Los propietarios de un sistema han de ser capaces de controlarlo en todo momento, perder este bien a favor de un usuario no autorizado compromete la seguridad del sistema hacia el resto de usuarios.
Análisis de riesgos
Cuando hablamos de un análisis de riesgos estamos intentando analizar que cosas o objetos cumplen estas tres cuestiones:
¿Que queremos proteger?
¿Contra quien o que lo queremos proteger?
¿Como lo queremos proteger?
El objetivo principal del uso de una política de seguridad es:
Informar a los usuarios de la red sus obligaciones para proteger a los recursos de la red.
Especificar los mecanismos a través de los cuales estos requerimientos pueden ser logrados.
Proveer una guía que permitirá implementar, configurar y controlar los sistemas de la red para determinar su conformidad con la política.
Una política de seguridad debe asegurar cuatro aspectos fundamentales en una solución de seguridad: autenticación, control de acceso, integridad y confidencialidad. A partir de estos, surgen los principales componentes de una política de seguridad:
Una política de privacidad: define expectativas de privacidad con respecto a funciones como monitoreo, registro de actividades y acceso a recursos de la red.
Una política de acceso: que permite definir derechos de acceso y privilegios para proteger los objetivos clave de una perdida o exposición mediante la especificación de guías de uso aceptables para los usuarios con respecto a conexiones externas, comunicación de datos, conexión de dispositivos a la red, incorporación de nuevo software a la red, etc.
Una política de autenticación: que establece un servicio de confiabilidad mediante alguna política de contraseñas o mecanismos de firmas digitales, estableciendo guías para la autenticación remota y el uso de dispositivos de autenticación.
Un sistema de IT (tecnología de la información) y una política de administración de la red: describe como pueden manipular la tecnologías los encargados de la administración interna y externa. De aquí surge la consideración de si la administración externa será soportada y, en tal caso, como será controlada.
Al diseñar la política de seguridad de una red se deben responder algunas cuestiones claves para poder llevar a cabo una sólida definición. Las preguntas básicas sobre la cual desarrollar la política de seguridad son las siguientes:
- ¿Qué recursos se tratan de proteger? (objetivos clave)
- ¿De quién se trata de proteger los recursos?
- ¿Cuáles y cómo son son las amenazas que afectan a tales recursos?
- ¿Qué tan importante es el recurso?
- ¿Qué medidas pueden ser implementadas para proteger el recurso?
- ¿Cuál es el costo de tal medida y en qué tiempo puede ser implementada?
- ¿Quién autoriza a los usuarios?
0 Comments